CN108171060A - 基于信息熵识别加密变形脚本的方法、系统及存储介质 - Google Patents

基于信息熵识别加密变形脚本的方法、系统及存储介质 Download PDF

Info

Publication number
CN108171060A
CN108171060A CN201711479172.1A CN201711479172A CN108171060A CN 108171060 A CN108171060 A CN 108171060A CN 201711479172 A CN201711479172 A CN 201711479172A CN 108171060 A CN108171060 A CN 108171060A
Authority
CN
China
Prior art keywords
script
comentropy
identified
encryption
filtration treatment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN201711479172.1A
Other languages
English (en)
Inventor
黄磊
邢继晨
童志明
何公道
肖新光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Harbin Antiy Technology Co Ltd
Original Assignee
Harbin Antiy Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Harbin Antiy Technology Co Ltd filed Critical Harbin Antiy Technology Co Ltd
Priority to CN201711479172.1A priority Critical patent/CN108171060A/zh
Publication of CN108171060A publication Critical patent/CN108171060A/zh
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Machine Translation (AREA)

Abstract

本发明提出了一种基于信息熵识别加密变形脚本的方法、系统及存储介质,所述方法包括:对待识别脚本进行代码过滤;计算过滤处理后脚本的信息熵;判断计算得到的信息熵是否大于预设阈值,如果是,则所述待识别脚本经过加密变形处理,否则,所述待识别脚本未经过加密变形处理。本发明还给出相应系统及存储介质。本发明实现了一种通用的方法,能够对加密变形脚本进行识别,为加密变形脚本的识别增加了普适性,不需要通过字符串的加密方式分别进行特征识别。

Description

基于信息熵识别加密变形脚本的方法、系统及存储介质
技术领域
本发明涉及计算机网络安全技术领域,特别涉及一种基于信息熵识别加密变形脚本的方法、系统及存储介质。
背景技术
为了加强代码的安全性, 防止被人任意查看或者为了防止杀毒软件的查杀, 脚本在发布前有时可能会进行加密或变形。
加密变形后的脚本增大了杀毒软件的识别难度, 需要根据加密技术方法进行特征识别。
目前对于加密变形的恶意脚本的识别的方法主要是根据脚本所采用的加密技术方法进行特征识别,不同的加密方法采用不同的特征识别方法,如对于采用字符串拼接进行加密的脚本,通常利用计算拼接层数进行识别,对于采用base64、Escape、replace等字符串加密方法,通常采用检测加密函数名和以及解密后的字符匹配来进行识别,因此每出现一种新的脚本加密方式,就要专门针对性的提取识别特征。
发明内容
基于上述问题,本发明提出了一种基于信息熵识别加密变形脚本的方法、系统及存储介质,信息熵是信息有序化程度的一个度量,通过对脚本信息熵的计算,解决了现有识别方式通过特征识别,无法识别新出现加密脚本的问题,给出了一种通用的加密脚本识别方法。
本发明通过如下方式实现:
首先,给出一种基于信息熵识别加密变形脚本的方法,包括:
对待识别脚本进行代码过滤;
计算过滤处理后脚本的信息熵;
判断计算得到的信息熵是否大于预设阈值,如果是,则所述待识别脚本经过加密变形处理,否则,所述待识别脚本未经过加密变形处理。
所述的方法中,所述对待识别脚本进行代码过滤,具体为:
根据待识别脚本的编写语言,过滤掉相应编写语言的通用字符串、关键字、标点符号及空白字符。
所述的方法中,所述计算过滤处理后脚本的信息熵,具体为:
计算过滤处理后脚本中每个字符出现的概率,将计算结果带入信息熵公式计算信息熵。
所述的方法中,所述的预设阈值,为根据已知脚本样本进行信息熵计算统计得出。
本发明通过计算待识别脚本的信息熵,识别加密变形脚本, 但并不是单纯地对脚本进行信息熵计算。在进行信息熵计算前,会对脚本进行过滤处理,过滤掉脚本代码所使用语言的通用字符串,包括关键字等,再过滤掉脚本中的注释、空白字符、括号等标点符号,之后再对剩余内容进行信息熵计算,以确保信息熵的计算结果不受通用字符串及标点符号的影响。
本发明还提出一种基于信息熵识别加密变形脚本的系统,包括:
过滤模块,对待识别脚本进行代码过滤;
计算模块,计算过滤处理后脚本的信息熵;
判断模块,判断计算得到的信息熵是否大于预设阈值,如果是,则所述待识别脚本经过加密变形处理,否则,所述待识别脚本未经过加密变形处理。
所述的系统中,所述对待识别脚本进行代码过滤,具体为:
根据待识别脚本的编写语言,过滤掉相应编写语言的通用字符串、关键字、标点符号及空白字符。
所述的系统中,所述计算过滤处理后脚本的信息熵,具体为:
计算过滤处理后脚本中每个字符出现的概率,将计算结果带入信息熵公式计算信息熵。
所述的系统中,所述的预设阈值,为根据已知脚本样本进行信息熵计算统计得出。
一种非临时性计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如上所述的任一方法。
本发明提出了一种加密变形脚本识别的通用方法,对于加密变形的脚本,无需知道其加密方式,即可直接进行识别,为加密变形脚本的识别增加了普适性, 无需再根据字符串的加密方式分别进行特征识别。本发明方法中信息熵的识别方法与其他信息熵识别数据的方法相比,本发明方案中有经过过滤处理的特点,具有更强的抗干扰特性。并且根据实际应用发现,本发明能够方便的识别出加密变形的脚本。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一种基于信息熵识别加密变形脚本的方法实施例流程图;
图2为本发明一种基于信息熵识别加密变形脚本的系统结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
本发明提出了一种基于信息熵识别加密变形脚本的方法、系统及存储介质,信息熵是信息有序化程度的一个度量,通过对脚本信息熵的计算,解决了现有识别方式通过特征识别,无法识别新出现加密脚本的问题,给出了一种通用的加密脚本识别方法。
本发明通过如下方式实现:
首先,给出一种基于信息熵识别加密变形脚本的方法,如图1所示,包括:
S101:对待识别脚本进行代码过滤;
S102:计算过滤处理后脚本的信息熵;
S103:判断计算得到的信息熵是否大于预设阈值,如果是,则所述待识别脚本经过加密变形处理,即脚本中包含了加密字符串, 因此可判定此脚本经过了加密变形处理;否则,所述待识别脚本未经过加密变形处理,即脚本中没有包含加密字符串,因此可判定此脚本未经过加密变形处理。
所述的方法中,所述对待识别脚本进行代码过滤,具体为:
根据待识别脚本的编写语言,过滤掉相应编写语言的通用字符串、关键字、标点符号及空白字符。
一般经过加密变形的脚本会包含一部分加密字符串,而这部分字符串的加入会增加整个脚本的信息熵,经过过滤处理后的脚本会保留这部分加密字符串,并过滤掉其它无关项。
所述的方法中,所述计算过滤处理后脚本的信息熵,具体为:
计算过滤处理后脚本中每个字符出现的概率,将计算结果带入信息熵公式计算信息熵。
信息熵计算公式:
H(x) = E[I(xi)] = E[ log(2,1/p(xi)) ] = -∑p(xi)log(2,p(xi)) (i=1,2,..n)
其中x指脚本中的字符,p(xi)为各字符出现的概率。
所述的方法中,所述的预设阈值,为根据已知脚本样本进行信息熵计算统计得出。经过对样本的统计,可得出一个信息熵的阈值,经过加密变形处理的脚本一般大于该阈值,而未经加密变形处理的脚本一般小于该阈值,因此可以通过信息熵的计算结果识别加密变形的脚本。
本发明通过计算待识别脚本的信息熵,识别加密变形脚本, 但并不是单纯地对脚本进行信息熵计算。在进行信息熵计算前,会对脚本进行过滤处理,过滤掉脚本代码所使用语言的通用字符串,包括关键字等,再过滤掉脚本中的注释、空白字符、括号等标点符号,之后再对剩余内容进行信息熵计算,以确保信息熵的计算结果不受通用字符串及标点符号的影响。
本发明还提出一种基于信息熵识别加密变形脚本的系统,如图2所示,包括:
过滤模块201,对待识别脚本进行代码过滤;
计算模块202,计算过滤处理后脚本的信息熵;
判断模块203,判断计算得到的信息熵是否大于预设阈值,如果是,则所述待识别脚本经过加密变形处理,否则,所述待识别脚本未经过加密变形处理。
所述的系统中,所述对待识别脚本进行代码过滤,具体为:
根据待识别脚本的编写语言,过滤掉相应编写语言的通用字符串、关键字、标点符号及空白字符。
所述的系统中,所述计算过滤处理后脚本的信息熵,具体为:
计算过滤处理后脚本中每个字符出现的概率,将计算结果带入信息熵公式计算信息熵。
所述的系统中,所述的预设阈值,为根据已知脚本样本进行信息熵计算统计得出。
一种非临时性计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如上所述的任一方法。
本发明提出了一种加密变形脚本识别的通用方法,对于加密变形的脚本,无需知道其加密方式,即可直接进行识别,为加密变形脚本的识别增加了普适性, 无需再根据字符串的加密方式分别进行特征识别。本发明方法中信息熵的识别方法与其他信息熵识别数据的方法相比,本发明方案中有经过过滤处理的特点,具有更强的抗干扰特性。并且根据实际应用发现,本发明能够方便的识别出加密变形的脚本。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。

Claims (9)

1.一种基于信息熵识别加密变形脚本的方法,其特征在于,包括:
对待识别脚本进行代码过滤;
计算过滤处理后脚本的信息熵;
判断计算得到的信息熵是否大于预设阈值,如果是,则所述待识别脚本经过加密变形处理,否则,所述待识别脚本未经过加密变形处理。
2.如权利要求1所述的方法,其特征在于,所述对待识别脚本进行代码过滤,具体为:
根据待识别脚本的编写语言,过滤掉相应编写语言的通用字符串、关键字、标点符号及空白字符。
3.如权利要求1所述的方法,其特征在于,所述计算过滤处理后脚本的信息熵,具体为:
计算过滤处理后脚本中每个字符出现的概率,将计算结果带入信息熵公式计算信息熵。
4.如权利要求1所述的方法,其特征在于,所述的预设阈值,为根据已知脚本样本进行信息熵计算统计得出。
5.一种基于信息熵识别加密变形脚本的系统,其特征在于,包括:
过滤模块,对待识别脚本进行代码过滤;
计算模块,计算过滤处理后脚本的信息熵;
判断模块,判断计算得到的信息熵是否大于预设阈值,如果是,则所述待识别脚本经过加密变形处理,否则,所述待识别脚本未经过加密变形处理。
6.如权利要求1所述的系统,其特征在于,所述对待识别脚本进行代码过滤,具体为:
根据待识别脚本的编写语言,过滤掉相应编写语言的通用字符串、关键字、标点符号及空白字符。
7.如权利要求1所述的系统,其特征在于,所述计算过滤处理后脚本的信息熵,具体为:
计算过滤处理后脚本中每个字符出现的概率,将计算结果带入信息熵公式计算信息熵。
8.如权利要求1所述的系统,其特征在于,所述的预设阈值,为根据已知脚本样本进行信息熵计算统计得出。
9.一种非临时性计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-4中任一所述的方法。
CN201711479172.1A 2017-12-29 2017-12-29 基于信息熵识别加密变形脚本的方法、系统及存储介质 Withdrawn CN108171060A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711479172.1A CN108171060A (zh) 2017-12-29 2017-12-29 基于信息熵识别加密变形脚本的方法、系统及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711479172.1A CN108171060A (zh) 2017-12-29 2017-12-29 基于信息熵识别加密变形脚本的方法、系统及存储介质

Publications (1)

Publication Number Publication Date
CN108171060A true CN108171060A (zh) 2018-06-15

Family

ID=62516344

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711479172.1A Withdrawn CN108171060A (zh) 2017-12-29 2017-12-29 基于信息熵识别加密变形脚本的方法、系统及存储介质

Country Status (1)

Country Link
CN (1) CN108171060A (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110163835A (zh) * 2018-07-03 2019-08-23 腾讯科技(深圳)有限公司 检测截图的方法、装置、设备及计算机可读存储介质
CN112800442A (zh) * 2021-01-05 2021-05-14 北京小米松果电子有限公司 加密文件检测方法、装置及介质
CN113626846A (zh) * 2021-08-23 2021-11-09 中国银行股份有限公司 加密方式的识别方法、装置和存储介质
CN113810336A (zh) * 2020-06-11 2021-12-17 北京威努特技术有限公司 一种数据报文加密判定方法、装置及计算机设备

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102622543A (zh) * 2012-02-06 2012-08-01 北京百度网讯科技有限公司 一种动态检测恶意网页脚本的方法和装置
CN106203095A (zh) * 2016-07-07 2016-12-07 众安在线财产保险股份有限公司 一种webshell的检测方法和检测系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102622543A (zh) * 2012-02-06 2012-08-01 北京百度网讯科技有限公司 一种动态检测恶意网页脚本的方法和装置
CN106203095A (zh) * 2016-07-07 2016-12-07 众安在线财产保险股份有限公司 一种webshell的检测方法和检测系统

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110163835A (zh) * 2018-07-03 2019-08-23 腾讯科技(深圳)有限公司 检测截图的方法、装置、设备及计算机可读存储介质
CN113810336A (zh) * 2020-06-11 2021-12-17 北京威努特技术有限公司 一种数据报文加密判定方法、装置及计算机设备
CN112800442A (zh) * 2021-01-05 2021-05-14 北京小米松果电子有限公司 加密文件检测方法、装置及介质
CN112800442B (zh) * 2021-01-05 2024-10-29 北京小米松果电子有限公司 加密文件检测方法、装置及介质
CN113626846A (zh) * 2021-08-23 2021-11-09 中国银行股份有限公司 加密方式的识别方法、装置和存储介质

Similar Documents

Publication Publication Date Title
CN108171060A (zh) 基于信息熵识别加密变形脚本的方法、系统及存储介质
US11188650B2 (en) Detection of malware using feature hashing
CN106936781B (zh) 一种用户操作行为的判定方法及装置
CN108268354A (zh) 数据安全监控方法、后台服务器、终端及系统
JP2018535490A (ja) サービス処理方法及び装置
US20190294763A1 (en) Method for extracting data from a database of data are watermarked according to a reversible watermarking mechaism
JP6039826B2 (ja) 不正アクセスの検知方法および検知システム
CN112685771A (zh) 日志脱敏方法、装置、设备及存储介质
CN115208835B (zh) Api分类方法、装置、电子设备、介质及产品
CN106470214A (zh) 攻击检测方法和装置
US20240320373A1 (en) Synthesizing user transactional data for de-identifying sensitive information
Chen et al. Advanced persistent threat organization identification based on software gene of malware
WO2019114246A1 (zh) 一种身份认证方法、服务器及客户端设备
CN111783073A (zh) 黑产识别方法、装置及可读存储介质
Layton et al. Authorship analysis of the Zeus botnet source code
CN105718793A (zh) 基于修改沙箱环境防止恶意代码识别沙箱的方法及系统
US11874752B1 (en) Methods and systems for facilitating cyber inspection of connected and autonomous electrical vehicles using smart charging stations
IT202100006383A1 (it) Metodo per monitorare e proteggere l’accesso ad un servizio online
CN105184162A (zh) 程序监控方法和装置
CN109600361A (zh) 基于哈希算法的验证码防攻击方法及装置
CN107995167A (zh) 一种设备识别方法及服务器
CN109800823B (zh) 一种pos终端的聚类方法及装置
CN103593614A (zh) 一种未知病毒检索方法
CN110009386B (zh) 用户分类方法、装置、计算机设备及存储介质
KR20130077184A (ko) 악성코드에 감염된 홈페이지 탐지 장치 및 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: 150028 Building 7, Innovation Plaza, Science and Technology Innovation City, Harbin Hi-tech Industrial Development Zone, Heilongjiang Province (838 Shikun Road)

Applicant after: Harbin antiy Technology Group Limited by Share Ltd

Address before: 150090 Room 506, No. 162 Hongqi Street, Nangang District, Harbin Development Zone, Heilongjiang Province

Applicant before: Harbin Antiy Technology Co., Ltd.

WW01 Invention patent application withdrawn after publication
WW01 Invention patent application withdrawn after publication

Application publication date: 20180615